การหางานในปัจจุบันนั้น ด้วยสภาพเศรษฐกิจในภาพรวมทำให้การหางานมีความยากลำบาก ระดับมีโอกาสใดมาเสนอก็ต้องลองเสี่ยงไว้ก่อน นั่นทำให้แฮกเกอร์นั้นมองเห็นเป็นโอกาสทองในการเข้าเล่นงานคนกลุ่มนี้ โดยเฉพาะผู้ที่ทำงานอยู่ในอุตสาหกรรมสำคัญ

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการตรวจพบแคมเปญใหม่ของกลุ่มแฮกเกอร์ดังจากประเทศเกาหลีเหนือ Lazarus Group โดยแคมเปญดังกล่าวนั้น เป็นการมุ่งเน้นปล่อยมัลแวร์ใส่กลุ่มผู้หางานในสายอื่น ๆ ที่ไม่ใช่ด้านเทคนิค เช่น Business Development, Asset Management, Product Development และ Decentralised Finance specialists ซึ่งแตกต่างจากแคมเปญอื่น ๆ ที่ผ่านมาที่มักเน้นไปยังกลุ่มคนหางานในสายด้านเทคนิค หรือ ด้านการพัฒนาซอฟต์แวร์ ซึ่งแคมเปญนี้จะเป็นการนำเอากลยุทธ์การฝังมัลแวร์ด้วยวิธี ClickFix หรือการหลอกให้เหยื่อทำการแก้ไขข้อผิดพลาดที่เกิดขึ้นบนหน้าจอ แต่แท้จริงแล้วการแก้ไขที่แนะนำบนหน้าจอนั้นกลับเป็นการสั่งการให้เกิดการรันสคริปท์เพื่อติดตั้งมัลแวร์ลงสู่เครื่องของเหยื่อ โดยในแคมเปญนี้จะเป็นการรันเพื่อติดตั้งมัลแวร์นกต่อ (Loader) ตระกูล FERRET เพื่อใช้ในการดาวน์โหลดมัลแวร์ประเภทเปิดประตูหลังของระบบที่ถูกสร้างขึ้นบนพื้นฐานของภาษา Golang ลงมาติดตั้งบนเครื่องของเหยื่ออีกที

ซึ่งแคมเปญล่าสุดนี่ ตัวแฮกเกอร์จะแอบอ้างตนว่ามีเหยื่อมีโอกาสในการสัมภาษณ์งานใหม่จากบริษัทชื่อดัง ซึ่งทางแฮกเกอร์จะทำการล่อลวงเหยื่อว่าจะต้องเข้าเว็บไซต์เพื่อดาวน์โหลดแอปพลิเคชันสำหรับการสัมภาษณ์งานที่มีชื่อว่า Willo โดยจะต้องทำแบบทดสอบในรูปแบบวิดีโอผ่านทางแอปพลิเคชันดังกล่าวให้เสร็จถึงจะได้เข้าสู่รอบสัมภาษณ์ ซึ่งคำสั่งที่ปรากฏบนหน้าจอนั้นจะสั่งการให้เหยื่อทำการอนุมัติสิทธิ์เพื่อเปิดการใช้งานกล้อง โดยหลังจากที่กดเปิดการใช้งาน ก็จะขึ้น Error (หลอก) พร้อมคำสั่งให้เหยื่อทำการดาวน์โหลดไดร์เวอร์ลงมาติดตั้งเพื่อแก้ไขข้อผิดพลาดดังกล่าว ซึ่งคำสั่งที่จะตามมาจะแตกต่างออกไปตามระบบปฏิบัติการที่เหยื่อใช้

โดยสำหรับเหยื่อที่ใช้งาน Windows ตัวคำสั่งจะระบุให้เหยื่อทำการเปิด Command Prompt ขึ้นมา พร้อมทั้้งพิมพ์คำสั่งตามที่กำหนด โดยคำสั่งนั้นจะเป็นการสั่งให้รันไฟล์ Visual Basic Script (VBS) ที่จะนำไปสู่การรันเพื่อติดตั้งมัลแวร์ GolangGhost ลงสู่เครื่องของเหยื่อ ซึ่งมัลแวร์ตัวนี้จะเปิดโอกาสให้แฮกเกอร์สามารถเข้าทำการควบคุมเครื่องจากระยะไกล, ขโมยข้อมูลเครื่องของเหยื่อ, ส่งไฟล์เข้าหรือดาวน์โหลดไฟล์ออกจากเครื่องของเหยื่อ, และขโมยข้อมูลจากเว็บเบราว์เซอร์ของเหยื่อ

ขณะที่เหยื่อที่ใช้งาน macOS นั้น เหยื่อจะได้รับคำสั่งให้ทำการเปิดแอปพลิเคชัน Terminal ขึ้นมา เพื่อทำการป้อนคำสั่งตามที่ทางแฮกเกอร์ให้มา โดยคำสั่งนั้นจะนำไปสู่การรัน Shell Script แบบ 2 ชั้น อันจะนำไปสู่การติดตั้งมัลแวร์สำหรับการขโมยข้อมูล (Stealer) ที่มีชื่อว่า FROSTYFERRET (หรือ ChromeUpdateAlert) และมัลแวร์ Backdoor ลงบนเครื่องของเหยื่อในทันที โดยมัลแวร์ FROSTYFERRET นั้นจะเริ่มเล่นงานเหยื่อด้วยการเปิดหน้าต่าง Chrome ปลอมขึ้นมาแล้วขอสิทธิ์ในการใช้งานกล้อง และไมโครโฟน หลังจากนั้นตัวมัลแวร์จะเด้งหน้าจอสำหรับการป้อนรหัสผ่านในการเข้าใช้งานระบบเพื่อหลอกให้เหยื่อทำการป้อนรหัสเข้าสู่เครื่องของเหยื่อ โดยไม่ว่าข้อมูลจะถูกต้องหรือไม่ ? ข้อมูลรหัสผ่านทั้งหมดจะถูกส่งไปยังแหล่งเก็บข้อมูลบนบริการ DropBox ที่แฮกเกอร์ได้สร้างเอาไว้ ซึ่งรหัสผ่านที่ขโมยได้ดังกล่าวนั้น ทางแฮกเกอร์จะนำไปใช้ในการขโมยรหัสผ่านอื่น ๆ ที่ถูกบันทึกไว้บน iCloud Keychain อีกที

จะเห็นได้ว่ากลยุทธ์ของแฮกเกอร์ที่อาศัยความยากลำบากของคนหางานนั้น สามารถนำพาชีวิตที่ยากลำบากอยู่แล้ว ไปเจออันตรายแบบซ้ำซ้อนได้อย่างไร ? ดังนั้น ถึงแม้จะต้องการได้งานทำมาก ก็จำเป็นที่จะต้องมีความระแวดระวังตัวอยู่เสมอด้วย

ที่มา : thehackernews.com